[发明专利]一种恶意进程的确定方法、装置、电子设备及存储介质

说明书

本申请公开了一种恶意进程的确定方法、装置、电子设备及存储介质，所述方法包括：采集进程对应的进程数据和网络数据，进程数据包括进程指示信息和进程对应的父进程指示信息，基于进程指示信息和进程对应的父进程指示信息对进程进行排序操作，得到排序后的进程序列，若进程序列中存在进程对与恶意进程对相匹配，将进程序列的恶意值更新为第一恶意值，若进程序列中存在进程的网络数据与恶意网络数据相匹配，将第一恶意值更新为第二恶意值，若第二恶意值与恶意阈值匹配，确定进程序列为恶意进程序列，如此，可以通过恶意进程序列确定其对应的软件，并对该软件进行处理，进而保障软件的安全使用。

技术领域

本申请涉及互联网技术领域，尤其涉及一种恶意进程的确定方法、装置、电子设备及存储介质。

背景技术

随着互联网技术的飞速发展，软件市场的发展日益迅猛，软件的应用已渗透到日常生活、企业办公、学习娱乐等方方面面，具体的，可以体现在社交、游戏、交通出行、影视欣赏等生活工作的各种场景中。然而，针对软件供应链的攻击可导致大量用户个人数据泄漏，甚至，针对性的软件供应链攻击(比如财务软件/办公软件)危害企业的财产安全。其中，软件供应链即指用户获取软件的渠道，比如软件官网、第三方平台、网盘等。针对软件获取渠道的攻击称之为软件供应链攻击，如通过入侵软件官网、网络劫持等方式对合法软件进行篡改。

当某设备(服务器或者终端)被软件供应链攻击成功后，设备上的正常软件就被植入了恶意代码。在用户启动设备运行该软件时，恶意代码可能会采集软件的正常运行数据，造成泄密。现有的恶意软件主流检测手法是特征码查杀和主动防御，但是由于恶意代码植入正常软件且带有正常签名，特征码查杀和主动防御方案会在查杀前将正常软件加入白名单，导致无法查杀带有恶意代码的白名单软件。

本申请实施例提供一种恶意进程的确定方法、装置、电子设备及存储介质，可以对所有软件进行恶意进程的确定。

发明内容

本申请实施例提供了一种恶意进程的确定方法、装置、电子设备及存储介质，可以对所有软件进行恶意进程的确定，并对恶意软件进行处理，进而保障软件的安全使用。

一方面，本申请实施例提供了一种恶意进程的确定方法，该方法包括：

采集进程对应的进程数据和网络数据；进程数据包括进程指示信息和进程对应的父进程指示信息；

基于进程指示信息和进程对应的父进程指示信息对进程进行排序操作，得到排序后的进程序列；

若进程序列中存在进程对与恶意进程对相匹配，将进程序列的恶意值更新为第一恶意值；进程对中两个进程的前后位置关系与两个进程在进程序列中的前后位置关系一致；

若进程序列中存在进程的网络数据与恶意网络数据相匹配，将第一恶意值更新为第二恶意值；

若第二恶意值与恶意阈值匹配，确定进程序列为恶意进程序列。

另一方面提供了一种恶意进程的确定装置，该装置包括：

采集模块，用于采集进程对应的进程数据和网络数据；进程数据包括进程指示信息和进程对应的父进程指示信息；

排序模块，用于基于进程指示信息和进程对应的父进程指示信息对进程进行排序操作，得到排序后的进程序列；

更新模块，用于若进程序列中存在进程对与恶意进程对相匹配，将进程序列的恶意值更新为第一恶意值；进程对中两个进程的前后位置关系与两个进程在进程序列中的前后位置关系一致；若进程序列中存在进程的网络数据与恶意网络数据相匹配，将第一恶意值更新为第二恶意值；

确定模块，用于若第二恶意值与恶意阈值匹配，确定进程序列为恶意进程序列